Eppur si muove: la sanzione a WhatsApp e l’efficacia del GDPR

Il garante irlandese ha sanzionato la Società che gestisce il noto servizio di messaggistica WhatsApp con 225 milioni di euro. Nel clamore della notizia, che segna il compimento di qualche passo , restano ancora molti interrogativi, soprattutto in merito alla efficacia delle sanzioni, alla necessità di un approccio corale e non isolato, alla tenuta della legislazione europea di fronte a sfide che interessano l’intero “universo interconnesso”.

 

Il garante irlandese per la privacy (Data Protection Commission, DPC: qui il sito ufficiale) ha irrogato una sanzione di 225 mln di euro a WhatsApp, il servizio di messaggistica che ha rivoluzionato i sistemi di comunicazione tra utenti e che, per la sua notorietà, è stato acquisito da Facebook (killer acquisition?).

La promessa di Facebook è nota (almeno a chi seguì la vicenda: una notizia del 2014 è consultabile qui): non avrebbe mai integrato i contenuti con Facebook, anche in accordo con i precedenti proprietari. Promessa “vana”, come alcuni capirono subito, come è stato analizzato in seguito e come risulta ancora oggi. I sistemi sono integrati, e i dati – anche se non tutti – vengono scambiati. Si parla, in prospettiva, di una unificazione del servizio tra WhatsApp, Messenger (usato all’interno di Facebook) e Instagram, con un potenziale di portata unica (anche con riferimento ai dati personali…).

La multa del garante testimonia la perdurante esigenza di una risposta pubblica a tali fenomeni. I servizi di messaggistica che poggiano sui protocolli di Internet, come Whatsapp, sono ormai diffusi su scala planetaria e hanno un indubbio rilievo sociale. Sono stati persino in grado di soppiantare l’uso degli SMS, ormai recessivo (tanto che è scomparso, come alcuni ricorderanno, dai piani degli operatori di telefonia mobile, che prima si contendevano anche sul piano delle offerte ai clienti del numero di messaggi compresi nel canone).

Il modello di business nelle mani di Menlo Park ha però suscitato molte domande rispetto alla “destinazione” dei dati dei singoli. Servizio gratuito, infatti, ma… a quale costo?

Se si unisce il timore del singolo ai temi della sorveglianza di massa, si comprendono i dubbi legati all’utilizzo di tale servizio. Va anche ricordato, allo stesso tempo, che alcuni anni fa, dopo un serio breach, WhatsApp ha implementato un servizio di end-to-end encription che impedisce a chiunque di leggere i contenuti trasmessi, a parte il mittente e il destinatario. Il metodo applicato a WhatsApp è stato mutuato da Signal, servizio statunitense prima sconosciuto – e ora invece piuttosto apprezzato – che ha un sistema di protezione molto elevato (si ricorderà un tweet di Elon Musk: “Use Signal”). Certo, vi è da dire che se si compie un backup sui sistemi operativi mobili (Android o iOS), la memorizzazione non sarà più criptata: si salvano i dati ma si perde la sicurezza.

Non è un caso se la Commissione europea, lo scorso anno, ha promosso proprio l’uso di Signal da parte dei propri funzionari, per evitare la profilazione. Quest’anno in molto sono “fuoriusciti” da WhatsApp (passando ad altro sistema, oppure affiancandolo) a seguito della modifica delle condizioni generali del servizio, che hanno mutato fortemente il regime della privacy. Le condizioni sono cambiate inizialmente solo negli Stati Uniti.

Il cambio delle condizioni contrattuali ha sollevato numerosi dubbi e cambiato abitudini degli utenti. Da ultimo, ha posto questioni di rispetto delle normative nazionali e, in Europa, del GDPR. Di qui l’istruttoria del garante irlandese, che è partita quasi tre anni fa, nel dicembre 2018. Una istruttoria lunga e complessa: per valore, la multa è la seconda irrogata, in ordine di grandezza, ai sensi del GDPR. La prima ha riguardato Amazon, per un valore di 746 milioni di euro.

Alla Società è stato imputato di non aver assolto gli obblighi di trasparenza imposti dal Regolamento (art. 5, par. 1, lett. a), 12, 13 e 14): gli utenti non sono adeguatamente informati sulle attività di utilizzo e raccolta dei dati. Dunque, manca un adeguato e pieno consenso alle prassi di Menlo Park. A corredo, il garante ha richiesto alla Società anche l’adozione di misure correttive volte a rimuovere i vizi riscontrati.

Sul piano amministrativo, è interessante notare come vi sia stato un innesto europeo nel procedimento: si registra, infatti, l’intervento dell’European Data Protection Board (EDPB), in cui operano le autorità europee, che ha sollecitato la definizione dell’istruttoria e l’aumento sensibile della sanzione – che è stata innalzata da 50 a 225 milioni di euro. L’autorità irlandese ha dunque recepito i commenti critici.

L’autorità procedente è la stessa al centro dei notissimi rinvii pregiudiziali che hanno portato alle sentenze della Corte di giustizia Schrems I e Schrems II (per l’Osservatorio, si veda quanto ho scritto qui) e che ancora sarà al centro di un dibattito giuridico e di una vicenda processuale che non accenna ad esaurirsi.

La Società privata ha chiaramente manifestato l’intenzione di ricorrere. Questo potrebbe mettere in discussione l’esito della sanzione, allungare i tempi e dare ancora una risposta incerta. Ma la difesa in giudizio è diritto fondamentale e non si può certo prescinderne in nome dell’efficienza.

Secondo i media, anche generalisti, la multa “prova che il GDPR funziona” (si legga ad esempio qui). Altri sono più scettici (qui). A tal riguardo, secondo l’associazione che fa capo all’Avvocato Maximilian Schrems, la NOYB, l’esito appare minimo di fronte al mare magnum del tema. Vi sono oltre 10 mila segnalazioni l’anno, ma le risposte sono state solo tre e questa è la prima sanzione di rilievo. Inoltre, raggiunge “solo” lo 0,8 per cento del fatturato, mentre il GDPR prevede norme fino al 4 per cento. Dunque, una frazione infinitesimale dei casi segnalati hanno esiti di rilievo e gli importi non sono idonei a costituire un deterrente. Tanto che l’associazione ha definito il quadro come “disfunzionale” (qui il loro commento). Questo aspetto, peraltro, si può leggere in modo generale: a distanza di più di un anno dalla sentenza Schrems II del luglio 2020, i garanti si sono fatti sentire molto, troppo poco – se non per niente.

I numeri, in altri termini, sono ancora evidentemente sbilanciati a favore delle “piattaforme”.

In conclusione, il modello europeo funziona? Quale la sua portata a livello globale? Come viene analizzato dagli operatori? Il GDRP è stato spesso qualificato come un modello di riferimento, quale tentativo di arginare lo strapotere dei soggetti privati. È vero che una sanzione singola, seppure importantissima come questa, non è sufficiente. La sfida correrà, pertanto, sugli scenari legislativi prossimi, in primis con il DSA e il regolamento sull’intelligenza artificiale, che auspicabilmente dovrebbero rafforzare le capacità di reazione anticipate dal GDPR.

Emerge la necessità di comprendere a fondo i meccanismi tecnici e di mercato insiti nella galassia della rete (nella “infosfera”, per citare alcuni Autori). Di rafforzare le competenze dei decisori politici e, quindi, dei decisori amministrativi. Anche quelle dei giudici, chiamati a pronunciarsi su eventuali ricorsi (interessante, in merito, una iniziativa canadese: qui e qui). Il contributo (costante) di esperti indipendenti gioverebbero a una sempre maggiore comprensione delle dinamiche tecniche, cercando di adottare soluzioni, ognuno per il proprio ambito di competenza, che abbiano effetti sostanziali e siano in grado di migliorare i nuovi “servizi di massa”, anche sul piano della tutela dei diritti.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale