Facciamo il punto della situazione sul significato dell’annunciata modifica ai termini di servizio e all’informativa privacy di WhatsApp, con particolare riguardo alla condivisione dei dati con altre società del “Gruppo Facebook” e alle finalità di trattamento dei dati personali degli utenti che verrà effettuato a partire dal 15 maggio 2021.

Nelle ultime due settimane molti utenti, effettuando l’accesso alla popolare applicazione di messaggistica istantanea WhatsApp, hanno visto comparire un avviso del seguente tenore: “WhatsApp sta aggiornando i propri termini e l’informativa sulla privacy. (…) Toccando accetto, accetti i nuovi termini in vigore dall’8 febbraio 2021. Dopo tale data dovrai accettare i nuovi termini per continuare a usare WhatsApp. Se preferisci eliminare il tuo account o vuoi ricevere maggiori informazioni, puoi visitare il Centro assistenza. Per scoprire di più sul trattamento di dati da parte di Whatsapp, leggi la nostra informativa privacy aggiornata.”

Tale messaggio ha generato negli utilizzatori dell’app grande perplessità e, soprattutto, confusione, alimentata dalla circolazione in rete di informazioni imprecise e, talvolta, errate su quanto stia realmente accadendo e su quali siano le implicazioni delle prospettate modifiche.

Se, infatti, in molti hanno selezionato la casella “accetta” a cuor leggero, magari senza nemmeno leggere il testo dell’avviso o interrogarsi sul suo significato, un numero considerevole di utenti ha preferito, nel dubbio, migrare verso altre applicazioni di messaggistica quali Signal e Telegram (che ha fatto un balzo in avanti, registrando +25 milioni di nuovi utenti in sole 72 ore).

Cosa prevedono le modifiche introdotte da Whatsapp?

In primo luogo occorre rilevare che, nell’attuale informativa privacy di WhatsApp (ultimo aggiornamento: 4 gennaio 2021), viene dato atto che dal primo gennaio 2021 per gli utenti che risiedono nello Spazio Economico Europeo il servizio viene erogato dalla società WhatsApp Ireland Limited (e non da WhatsApp LLC, società distinta – anche se pur sempre parte del gruppo Facebook – dedicata alla fornitura del servizio per gli utenti che risiedono extra-UE).

Si tratta, con ogni probabilità, di una riorganizzazione – opportuna – dettata dalla necessità di far fronte all’invalidazione del c.d. Privacy Shield del luglio 2020, che ha certamente complicato l’esportazione di dati personali verso Paesi terzi.

In secondo luogo, occorre distinguere le modifiche ai termini di utilizzo da quelle della privacy policy.

Per quanto concerne la modifica dei termini di utilizzo, non è infrequente che un fornitore di servizi informatici apporti modifiche unilaterali ai ToS (acronimo di Terms of Service) e chieda all’utente di accettarli se intende continuare a fruire del servizio.

La richiesta di accettazione delle nuove condizioni contrattuali non è altro che la diretta conseguenza del diritto del fornitore, previo avviso con congruo preavviso, di modificare le proprie condizioni contrattuali e serve a consentire all’utente di scegliere se intende recedere o proseguire il rapporto con le nuove regole.

Tutt’altra questione è quella che riguarda l’aspetto relativo al trattamento dei dati personali e alla – temuta – loro condivisione con Facebook; ed è proprio sulla modifica della privacy policy che si sono concentrate le maggiori preoccupazioni.

E’ vero che, nel 2014, WhatsApp è stata acquisita da Facebook; ciò nonostante, nella sua informativa privacy, l’App di messaggistica chiarisce che “Niente di quello che condividi su WhatsApp, compresi messaggi, foto e informazioni dell’account, verrà condiviso su Facebook né su altre app del nostro gruppo per essere visto da altri e niente di quello che pubblichi su queste app verrà condiviso su WhatsApp per essere visto da altri, a meno che tu decida di farlo”.

WhatsApp utilizza sistemi di crittografia end-to-end di messaggi e chiamate che impediscono sia a WhatsApp stessa sia a terze parti di avere accesso ai contenuti scambiati tramite la pioattaforma.

Sempre nell’informativa privacy, infatti, Whatsapp specifica che “I messaggi degli utenti sono loro, e noi non possiamo leggerli. Abbiamo costruito funzionalità di privacy, crittografia end-to-end, e altre funzionalità di sicurezza su WhatsApp. Non memorizziamo i messaggi degli utenti una volta che sono stati consegnati. Quando sono crittografati end-to-end, noi e terzi non possiamo leggerli.”

Sembra, quindi, potersi escludere che le modifiche in arrivo comportino la condivisione dei contenuti delle conversazioni private tra WhatsApp e Facebook, ivi compresa la condivisione per finalità di profilazione a scopo di marketing.

Oggetto di condivisione potrebbero essere, invece, i c.d. metadati relativi all’utilizzo dell’App quali, ad esempio, gli orari di accesso, i tempi di utilizzo, i contatti con cui si interagisce più spesso, ecc.

Tutto chiaro, dunque? Non proprio.

Va rimarcata la vaghezza dell’informativa privacy nella parte in cui si afferma che “In quanto parte delle aziende di Facebook, WhatsApp riceve informazioni da tali aziende e le condivide con altre aziende di Facebook. Potremmo utilizzare le informazioni che riceviamo da esse, e viceversa esse potrebbe utilizzare le informazioni che condividiamo con loro, per rendere disponibili, fornire, migliorare, comprendere, personalizzare, supportare e commercializzare i nostri Servizi e le loro offerte, inclusi i prodotti delle aziende di Facebook.

L’informativa prosegue con una esemplificazione delle finalità della condivisione dei dati tra cui vengono citate quelle di: “aiutare a migliorare l’infrastruttura e i sistemi di consegna; comprendere come vengono usati i nostri Servizi o dei loro servizi; promuovere la protezione, la sicurezza e l’integrità all’interno dei prodotti delle aziende di Facebook (ad esempio rafforzando la sicurezza dei sistemi e contrastando spam, minacce, abusi o violazioni); migliorare i loro servizi e le esperienze dell’utente quando li utilizza, ad esempio fornendo suggerimenti all’utente (ad esempio, suggerimenti di amici o gruppi con cui collegarsi oppure di contenuti interessanti), personalizzando funzioni e contenuti, aiutando a completare acquisti e transazioni e mostrando offerte e annunci rilevanti all’interno dei prodotti delle aziende di Facebook; e fornendo integrazioni che consentono all’utente di connettere le esperienze di WhatsApp con altri prodotti delle aziende di Facebook. (…)”

Questo e altri passaggi poco “trasparenti” dell’informativa privacy dell’app hanno attirato l’attenzione anche dall’Autorità Garante per la protezione dei dati personali.

Come ha reagito il Garante privacy italiano?

Con una nota apparsa sul suo sito istituzionale il 14 gennaio, il Garante privacy ha dichiarato di ritenere l’informativa resa agli utenti poco chiara e intelligibile, riservandosi di valutarla con maggiore attenzione alla luce della disciplina in materia di privacy.

Il Garante ritiene che, dai termini di servizio e dalla nuova informativa, non sia possibile, per gli utenti, evincere in modo chiaro quali siano le modifiche introdotte né comprendere chiaramente quali trattamenti di dati saranno effettuati dal servizio di messaggistica, con la conseguenza che la stessa non appare idonea a consentire agli utenti di WhatsApp la manifestazione di una volontà libera e consapevole.

Per tali ragioni, il Garante ha ritenuto doveroso portare la questione all’attenzione dello European Data Protection Board (EDPB), riservandosi di intervenire, anche in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali.

Qual è la posizione assunta da WhatsApp a seguito del clamore suscitato (e della fuga degli utenti)?

Il grande impatto mediatico generato dalla vicenda ha indotto WhatsApp a posticipare di circa 3 mesi il termine entro il quale verrà richiesto agli utenti di accettare le nuove condizioni, dall’8 febbraio originariamente previsto al 15 maggio 2021, data entro la quale saranno disponibili anche gli annunciati aggiornamenti – rilevanti – per WhatsApp Business.