Type a keyword and hit enter to start searching. Press Esc to cancel.
© Consulenza Legale Moda. 2016. Tuttti i diritti riservati.

Posts Taggati ‘EDPB’

Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.

WhatsApp

Della questione si è interessato anche il Garante Privacy Italiano, che il 14 gennaio scorso ha informato ufficialmente l’EDPB, ossia il Comitato Europeo per la Protezione dei Dati Personali, della vicenda, e si è riservato di intervenire per la tutela dei dati personali degli utenti italiani.

What’s up?

Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.

Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.

Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.

E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.

Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.

Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?

WhatsApp growth slumps as rivals Signal, Telegram rise

Ad essere sinceri, ci sono sicuramente app di messaggistica maggiormente privacy-friendly, quali Signal, Element, e la più conosciuta Telegram.

Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.

In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:

  • i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
  • l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
  • l’app non ha accesso alle posizioni che condividi;
  • i gruppi sono assolutamente privati;
  • è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.

Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.

Cos’è Whatsapp Business?

La funzione Catalogo su WhatsApp Business nel chatvertising

In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.

Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.

Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.

E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?

I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.

Ma Whatsapp condivide o no i miei dati personali con Facebook?

In che modo WhatsApp ha venduto la nostra privacy a Facebook - Data Manager Online

Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.

Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.

Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.

Ad ogni buon conto Whatsapp, ha precisato che:

  1. Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
  2. Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
  3. WhatsApp non condivide i tuoi contatti con Facebook.

Conclusioni

Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.

Stay tuned per tutti gli aggiornamenti.

Continua a leggere →

L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.

I consigli dell’EDPB

Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.

1^ Step: mappare i flussi di dati.

Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.

2^ Step: individuare lo strumento normativo su cui si basa il trasferimento

Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.

3^ Step: assessment sulla normativa del paese importatore

Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle “European Essential Guarantees recommendations. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.

4^ Step: eventuale applicazione di misure ulteriori

Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.

In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:

1.         i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;

2.         l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;

3.         le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);

4.         le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.

Consigli dello Studio

I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.

Continua a leggere →