GARANTE PRIVACY SANZIONA CLUBHOUSE PER 2 MILIONI DI EURO
29/12/2022
Stampa la pagina
Ascolta la versione audio dell'articolo
Sanzionata per 2 milioni di euro la società Alpha Exploration proprietaria di Clubhouse, il social network basato solo su interazioni audio.
Il Garante per la protezione dei dati personali riscontrava molteplici e gravi violazioni del Regolamento (UE) 2016/679.
Cos'è Clubhouse
Il social network in questione è basato esclusivamente su interazioni vocali. L'app permette agli utenti di creare una propria stanza virtuale (room) o accedere a quella già creata da un altro utente e, all'interno di queste, interagire solamente attraverso la voce.
L'applicazione, dapprima scaricabile secondo un sistema di inviti, ha visto un'enorme diffusione durante il periodo pandemico, per finire poi liberamente rinvenibile negli store dei vari ecosistemi (principalmente iOS e android).
Le violazioni accertate dal Garante Privacy
Preliminarmente viene confermata la sussistenza della giurisdizione italiana poiché il servizio veniva offerto ad interessati nell'Unione e, in particolare, mancando l'individuazione di uno stabilimento da parte della società, la giurisdizione è diffusa ad ogni Autorità di controllo del singolo Stato membro.
Artt. 5, par. 1, lett. a), 6 e 7
Veniva verificata, fino al 4 agosto 2021 l'assenza di una privacy policy oltre che ritenuta del tutto inidonea la dichiarata base giuridica dell'interesse legittimo per il trattamento dei file audio.
La privacy policy, poi implementata, prevedeva finalità di marketing diretto con il meccanismo (illecito) di opt-out.
Constava il Garante l'assenza di base giuridica per il trattamento legittimo di registrazione e condivisione degli dei file audio (Clips & Replays), di condivisione e suggerimento profili e profilazione degli interessati, funzione non citata neppure nella nuova informativa privacy pubblicata nel sito il 16 maggio 2022.
Ritenuto sproporzionato il sistema di monitoraggio dei contenuti (conservati per un tempo indeterminato) per il fine di gestire eventuali segnalazioni di comportamenti illeciti.
Contestate, poi, le attività di profilazione dell'utente poiché non strettamente necessarie per l'erogazione del servizio oltre che rilevare una elusione dell'utilizzo delle basi giuridiche per il trattamento al fine di garantirsi la formale profilazione a prescindere dal consenso dell'interessato.
Artt. 5, par. 1, lett., a) ed e), 12, par. 1, 13 e 14
Il Garante, verificato che vi erano interazione con i numeri di telefono dei soggetti presenti nella rubrica degli utilizzatori dell'app, ritiene necessario che la Società fornisca ai terzi, quando vengono invitati ad aderire all'app, specifica informativa.
L'informativa risulta priva dei necessari connotati di chiarezza, trasparenza e comprensibilità e carenti risultano le informazioni circa i tempi di conservazione dei dati audio.
Art. 27
Rilevata la mancanza dei dati del rappresentante (art. 13 par. 1 lett. a) e ruolo del medesimo non correttamente delineato.
Art. 35
Manca della valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali.
La sanzione
Venivano quindi individuate alcune misure correttive volte a rendere conforme l'attività di Clubhouse alla disciplina del GDPR e quindi applicata la sanzione amministrativa pecuniaria di euro 2 milioni oltre a quella accessoria della pubblicazione del provvedimento sul sito web del Garante.
Conclusioni
Quanto osservato già ad inizio 2021 (vedi articolo Clubhouse: nuovo social, vecchi problemi) viene confermato dal Garante. La priorità è stata data all'aspetto tecnico mentre ampiamente sottovalutato l'aspetto legale e di tutela dei diritti degli utenti, circostanza peraltro evidente dal tenore degli scritti difensivi della società.
- Clubhouse
- Garante Privacy