General Data Protection Regulation (GDPR) e utilizzo aziendale di WhatsApp
WhatsApp è una delle applicazioni di messaggistica istantanea più popolari e il suo funzionamento è così semplice da rappresentare un ottimo sostituto di SMS e MMS permettendo di inviare e ricevere messaggi di testo, chiamate, suoni, note vocali, video, fotografie, note e informazioni di contatto. La grande diffusione di WhatsApp ha talvolta fatto sì che questa venisse utilizzata anche per gestire scambio di messaggi in ambito aziendale sebbene l’applicazione sia pensata per l’utilizzo in ambito privato in quanto gli stessi produttori hanno rilasciato una versione focalizzata su scenari aziendali denominata WhatsApp Business dedicata alle piccole e medie imprese e disponibile in Italia da qualche giorno, ma solo su piattaforma Android. In vista dell’adozione del Regolamento europeo in materia di protezione dei dati personali (in inglese GDPR General Data Protection Regulation- Regolamento UE 2016/679) prevista il 25 maggio 2018 le aziende sono chiamate ad analizzare gli strumenti utilizzati per il trattamento di dati personali documentando le ragioni che hanno motivato la scelta di tali strumenti.
Per quanto riguarda la privacy di WhatsApp e in particolare la condivisione di informazioni con terze parti è possibile ricavare alcune informazioni dalle FAQ ufficiali nella sezione Generale – Avviso per utenti UE, di seguito riportiamo alcuni passi dalle seguenti:
-
- “Condividiamo informazioni con il gruppo di aziende di Facebook (e con terze parti fidate) in qualità di fornitori di servizi.”
- “Questo ci consente, ad esempio, di analizzare e capire come vengono usati i nostri servizi e come mettere i dati a confronto con l’uso all’interno del gruppo di aziende di Facebook.”
- “Quando WhatsApp condivide informazioni con il gruppo di aziende in questi modi, il gruppo di aziende di Facebook funge da fornitore di servizi per aiutare WhatsApp e l’intero gruppo di aziende. Ciò significa che tale fornitore di servizi non può utilizzare le informazioni che condividiamo con lui per i propri scopi ma deve invece agire per conto di WhatsApp.”
- “Se sei un utente WhatsApp dell’Unione europea, in seguito alle discussioni con il Commissario per la protezione dei dati irlandese, WhatsApp non sta ancora condividendo le tue informazioni con Facebook al fine di migliorare i tuoi prodotti Facebook o offrirti esperienze con le inserzioni più pertinenti su Facebook finché non raggiungerà un accordo con il Commissario per la protezione dei dati irlandese su un meccanismo che in futuro consentirà tale utilizzo.”
- “Condividiamo informazioni con il gruppo di aziende di Facebook (e con terze parti fidate) in qualità di fornitori di servizi.”
-
- “Se eri già un utente WhatsApp ad agosto 2016, quando è stato effettuato l’aggiornamento, avevi la possibilità di usare un comando per impedire a Facebook di usare le tue informazioni per migliorare i tuoi prodotti Facebook e offrirti esperienze con le inserzioni più pertinenti su Facebook, un nuovo scopo incluso nei Termini di servizio e nell’Informativa sulla privacy aggiornati. Gli utenti esistenti hanno avuto a disposizione 30 giorni per prendere questa decisione a partire dal primo accesso al loro account in seguito all’aggiornamento di agosto 2016.”
- “Se hai effettuato l’iscrizione a WhatsApp in seguito all’aggiornamento di agosto 2016, non ti è stata offerta questa possibilità perché hai aderito al servizio in un momento in cui WhatsApp faceva già parte del gruppo di aziende di Facebook e quando hai iniziato a usare WhatsApp erano già in vigore i Termini di servizio e l’Informativa sulla privacy relativi a questi usi delle tue informazioni.”
- “Se cambi idea in merito ai Termini di servizio e all’Informativa sulla privacy dopo aver aderito a WhatsApp, puoi smettere di usare i nostri servizi ed eliminare il tuo account tramite la funzione “Elimina il mio account” nell’app. WhatsApp eliminerà le tue informazioni e anche le informazioni condivise con Facebook e con gli altri membri del gruppo di aziende di Facebook.”
- “Se eri già un utente WhatsApp ad agosto 2016, quando è stato effettuato l’aggiornamento, avevi la possibilità di usare un comando per impedire a Facebook di usare le tue informazioni per migliorare i tuoi prodotti Facebook e offrirti esperienze con le inserzioni più pertinenti su Facebook, un nuovo scopo incluso nei Termini di servizio e nell’Informativa sulla privacy aggiornati. Gli utenti esistenti hanno avuto a disposizione 30 giorni per prendere questa decisione a partire dal primo accesso al loro account in seguito all’aggiornamento di agosto 2016.”
-
- “Ecco in cosa consistono le informazioni: il numero di telefono che hai verificato al momento dell’iscrizione a WhatsApp, alcune informazioni sul tuo dispositivo (identificatore del dispositivo, versione del sistema operativo, versione dell’app, informazioni sulla piattaforma, codice Paese e codice di rete del cellulare e contrassegni per il monitoraggio dell’accettazione dell’aggiornamento e dei comandi scelti), alcune informazioni sull’uso (quando hai usato WhatsApp l’ultima volta, la data in cui hai registrato l’account per la prima volta, il tipo di funzioni che usi e con quale frequenza).”
- “WhatsApp non condivide i tuoi contatti di WhatsApp con Facebook né con altri membri del gruppo di Facebook e non intendiamo farlo in futuro. Inoltre, WhatsApp non condivide i tuoi messaggi con Facebook. In più, WhatsApp non può leggere i tuoi messaggi perché sono crittografati end-to-end per impostazione predefinita se tu e le persone con cui scambi messaggi utilizzate la versione più recente dell’app. Solo le persone con cui scambi messaggi possono leggere i tuoi messaggi; non può farlo WhatsApp, né Facebook, né nessun altro.”
- “Ecco in cosa consistono le informazioni: il numero di telefono che hai verificato al momento dell’iscrizione a WhatsApp, alcune informazioni sul tuo dispositivo (identificatore del dispositivo, versione del sistema operativo, versione dell’app, informazioni sulla piattaforma, codice Paese e codice di rete del cellulare e contrassegni per il monitoraggio dell’accettazione dell’aggiornamento e dei comandi scelti), alcune informazioni sull’uso (quando hai usato WhatsApp l’ultima volta, la data in cui hai registrato l’account per la prima volta, il tipo di funzioni che usi e con quale frequenza).”
-
- “Le informazioni descritte qui possono essere condivise per gli scopi specifici descritti nel presente documento per tutti gli utenti di WhatsApp che decidono di usare il servizio WhatsApp e accettano i nostri Termini di servizio e l’Informativa sulla privacy. Potrebbero essere inclusi anche gli utenti WhatsApp che non sono utenti Facebook poiché, se necessario, dobbiamo avere la possibilità di condividere le informazioni per tutti gli utenti in modo da poter ricevere servizi utili dal gruppo di aziende di Facebook e soddisfare gli scopi importanti spiegati qui.”
- “Le informazioni descritte qui possono essere condivise per gli scopi specifici descritti nel presente documento per tutti gli utenti di WhatsApp che decidono di usare il servizio WhatsApp e accettano i nostri Termini di servizio e l’Informativa sulla privacy. Potrebbero essere inclusi anche gli utenti WhatsApp che non sono utenti Facebook poiché, se necessario, dobbiamo avere la possibilità di condividere le informazioni per tutti gli utenti in modo da poter ricevere servizi utili dal gruppo di aziende di Facebook e soddisfare gli scopi importanti spiegati qui.”
Quindi per quando riguarda la gestione della condivisione d’informazioni da parte di WhatsApp con terze parti si può sintetizzare quanto segue:
- WhatsApp condivide informazioni con il gruppo di aziende di Facebook e con terze parti che ritiene fidate.
- Per gli utenti dell’Unione europea, WhatsApp non sta ancora condividendo le informazioni con Facebook, in seguito alle discussioni con il Commissario per la protezione dei dati irlandese.
- Gli altri utenti non appartenenti all’Unione europea che non si desiderano tale condivisione d’informazioni devono eliminare l’account WhatsApp, ovvero non utilizzare WhatsApp
- Le informazioni che vengono condivise possono consentire l’identificazione dell’utilizzatore (numero di telefono, identificatore del dispositivo, versione del sistema operativo, versione dell’app, informazioni sulla piattaforma, codice Paese e codice di rete del cellulare) e la sua profilazione circa dell’utilizzo dell’applicazione (data ultimo utilizzo, data registrazione dell’account, tipo di funzioni utilizzate e frequenza di utilizzo)
La condivisione dei dati con il gruppo di aziende di Facebook da parte di WhatsApp è già stata oggetto di attenzione più volte si vedano ad esempio:
-
- “Il Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto che prevede la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti di WhatsApp, anche per finalità di marketing.”
- “Il Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto che prevede la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti di WhatsApp, anche per finalità di marketing.”
-
- “The WP29 notes the new “Notice for EU users” published by WhatsApp on 16 August 2017 among the “Frequently asked questions” (“FAQ”) on its website. This notice provides certain additional information regarding the nature and purposes of the sharing of personal data by WhatsApp with the Facebook family of companies. The publication of this Notice does not, however, sufficiently address the issues of non-compliance with data protection law. Whilst the WP29 notes that the data protection issues of non-compliance arising in this case have already been clearly explained to both WhatsApp and Facebook, a further explanation of how the actions of the respective parties are considered deficient is detailed below.”
- “The WP29 notes the new “Notice for EU users” published by WhatsApp on 16 August 2017 among the “Frequently asked questions” (“FAQ”) on its website. This notice provides certain additional information regarding the nature and purposes of the sharing of personal data by WhatsApp with the Facebook family of companies. The publication of this Notice does not, however, sufficiently address the issues of non-compliance with data protection law. Whilst the WP29 notes that the data protection issues of non-compliance arising in this case have already been clearly explained to both WhatsApp and Facebook, a further explanation of how the actions of the respective parties are considered deficient is detailed below.”
Per quanto riguarda invece la sicurezza di WhatsApp come tutte le applicazioni software può essere soggetta a vulnerabilità dirette o indirette dovute ad esempio al sistema operativo dello smartphone su cui viene eseguita. Scendendo nei nettagli le vulnerabilità documentate relative a WhatsApp sono state la CVE-2015-1157 del 27 maggio 2015 e la CVE-2017-8769 del 18 maggio 2017 (anche se il vendor non la riconosce come security issues), mentre il 6 gennaio 2018 i ricercatori Rösler, Mainka e Schwenk della Ruhr-University Bochum hanno pubblicato un’analisi relativa ad una vulnerabilità a carico delle chat di gruppo (More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema), a riguardo si veda l’articolo WhatsApp Security Flaws Could Allow Snoops to Slide Into Group Chats pubblicato da Wired.
L’adozione GDPR implicherà una serie di problematiche che imprese e soggetti pubblici dovranno tenere presenti, a riguardo si veda la Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali. Infatti come sintetizzato nell’Libro Bianco: “Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici” del 2018, pubblicato dal CINI (Consorzio Interuniversitario Nazionale per l’Informatica) nella sezione del sito dedicata al LIBRO BIANCO SULLA CYBERSECURITY, il GDPR introdurrà le seguenti novità:
- “General Data Protection Regulation (GDPR) o Regolamento generale sulla protezione dei dati che è stata introdotta nel regolamento UE 2016/6791 del 27 aprile 2016 e che abroga la precedente direttiva 95/46/CE.”
- “La direttiva 95/46/CE e la normativa GDPR sono profondamente diverse: la prima prevedeva una serie di prescrizioni, assimilabili a una check list, mentre la seconda indica gli obiettivi da raggiungere, lasciando alla discrezionalità degli operatori la scelta degli strumenti più opportuni in relazione al contesto, ma impone al contempo l’obbligo di documentare le ragioni che hanno motivato tali scelte.”
- “Premesso che per dati personali si intendono tutte le informazioni relative a un individuo e alla sua figura professionale e pubblica, il concetto di protezione dei dati che caratterizza il GDPR comprende anche gli obblighi relativi alla loro gestione, che riguardano sia la sicurezza sia ambiti ulteriori come la conservazione, la riservatezza, l’anonimizzazione e la cancellazione a richiesta del soggetto interessato.”
- “Il GDPR distingue tra il titolare del trattamento (ovvero il controller della versione inglese), il responsabile del trattamento (in inglese il processor) e il soggetto interessato, vale a dire il soggetto a cui i dati si riferiscono.”
- “Il nuovo regolamento rivede il concetto di accountability (responsabilizzazione): la responsabilità del trattamento è in capo al titolare del trattamento e non al responsabile del trattamento (che è il processor).”
- “Il GDPR impone, inoltre, l’applicazione del principio della data protection by design che richiede di considerare la protezione dei dati fin dalla fase di ideazione e progettazione di un sistema per il trattamento o la gestione di dati personali, coinvolgendo quanti si occupano dello sviluppo di servizi, prodotti, applicazioni che fanno uso di dati personali.”
-
“Poiché nessuna banca dati è sicura in Internet, alcuni dei principi fondamentali del GDPR sono proprio volti a limitare il campo di esposizione ai rischi:
- minimizzazione dei dati — raccolgo solo i dati necessari e non altri;
- limitazione delle finalità — non posso decidere di fare ciò che voglio dei dati, ma solo perseguire la finalità per cui li ho raccolti;
- limitazione della conservazione — sono chiamato a eliminare i dati appena finisce lo scopo per cui li ho raccolti.”
- minimizzazione dei dati — raccolgo solo i dati necessari e non altri;
- “Le aziende che non si adeguano alle previsioni del GDPR entro la scadenza sono soggette a sanzioni fino a 20 milioni di euro, o fino al 4% del volume d’affari globale registrato nell’anno precedente. È inoltre previsto il diritto all’azione risarcitoria da parte di chiunque subisca un danno materiale o immateriale causato dalla violazione della normativa.”
Inoltre come indicato nei documento della Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali occorre anche tenere presente le seguenti:
-
- “In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).”
- “In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).”
-
- “il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi
e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).”
- “il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi
-
- “Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.”
- “il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.”
- “Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.”
Quindi il GDPR implicherà per aziende e pubbliche amministrazioni un cambio di approccio nella gestione dell’adozione di soluzioni software tramite cui si eseguano attività di trattamento di dati personali, ed in particolare vanno tenute in considerazione le seguenti:
- obbligo di documentare le ragioni che hanno motivato la scelta della soluzione software;
- gestione dei dati personali (informazioni relative a un individuo e alla sua figura professionale e pubblica) implica occuparsi della sicurezza, conservazione, riservatezza, anonimizzazione e cancellazione a richiesta del soggetto interessato;
- applicazione del principio della data protection by design;
- limitazione dell’esposizione ai rischi che si traduce in scelte che rispettino la minimizzazione dei dati raccolti, la limitazione delle finalità e la limitazione della conservazione;
- la richiesta di consenso deve essere chiaramente distinguibile, comprensibile, semplice e chiara;
- occorre specificare la base giuridica del trattamento e se e tramite quali strumenti
avvengono trasferimenti di dati personali in Paesi terzi
- occorre prevedere la possibilità che il soggetto interessato possa ricevere una copia dei dati personali oggetto di trattamento
Tornando quindi al tema dell’articolo e quindi se dal punto di vista aziendale l’utilizzo di WhatsApp sia o meno adottabile nell’ottica del rispetto del GDPR ovviamente non esiste una risposta definitiva, ma occorre un’attenta valutazione dello scenario d’uso. In ogni caso ciò che deve guidare la scelta di adottare o meno una soluzione è il principio del data protection by design e la limitazione dell’esposizione ai rischi.
Quindi si può in prima approssimazione affermare che se l’adozione di WhatsApp è motivata principalmente dalla volontà di utilizzare un mezzo di comunicazione più comodo o pratico rispetto ad altri esistenti (mail, PEC, sms, sito web aziendale/istituzionale) in cui la gestione della sicurezza, la limitazione dell’esposizione a rischi siano di più semplice gestione l’utilizzo di WhatsApp non è consigliabile in quanto verrebbe meno il principio del data protection by design.
WhatsApp condivide informazioni con il gruppo di aziende di Facebook e con terze parti (anche se al momento per utenti dell’Unione europea tale condivisione non è ancora attiva) quindi può risultare difficile o non possibile soddisfare il requisito del “diritto di accesso”, del “diritto all’oblio” e della “portabilità dei dati” richiesti dal GDPR. Infatti l’utilizzo di WhatsApp comporta che la rubrica di un utente con tutti i contatti, inclusi indirizzi e-mail e numeri di telefono, viene trasferita su WhatsApp e quindi su FaceBook (gli utenti UE sono al mento esclusi dal trasferimento su FaceBook) e questo comporta anche che occorre avere il consenso esplicito per trasferire dati personali a WhatsApp.